微軟公司的網(wǎng)絡安全業(yè)務已異軍突起。數(shù)據(jù)顯示，其網(wǎng)絡安全產(chǎn)品2021年營收創(chuàng)紀錄地超過150億美元（折合954億元人民幣），是最大專業(yè)安全公司Palo Alto Networks年營收的三倍；

　　微軟CEO納德拉表示，為旗下產(chǎn)品植入安全要素是公司最基本的責任，同時也不會放棄網(wǎng)絡安全這一利潤點；

　　為迎接網(wǎng)絡安全新挑戰(zhàn)，微軟于2021年末挖來前亞馬遜高管查理？貝爾，擔任新成立的安全、合規(guī)、身份與管理部門，預計該部門員工將超過1萬人；

　　對此外界也提出了質(zhì)疑，微軟一邊發(fā)布帶有安全漏洞的軟件，另一邊兜售保護軟件免遭網(wǎng)絡威脅的安全服務，集網(wǎng)絡安全救火隊員、監(jiān)測者以及漏洞軟件編寫者等角色于一身，定位爭議很大。

　　二十年前，微軟優(yōu)秀安全工程師米歇爾？霍華德（Michael Howard）和戴維？勒布蘭科（David LeBlanc）撰寫的《編寫安全代碼》一書被軟件開發(fā)人員奉為圭臬。比爾？蓋茨也深受影響。掩卷沉思后，他決定變革微軟軟件編寫方式，把安全性和可靠性列為首要追求目標。

　　“我們的軟件最終要從根本上對安全性做出保證，讓用戶永不為此感到焦慮，”他說。

　　承諾落空，

　　網(wǎng)絡安全成重要贏利點

　　二十年過去了，蓋茨的承諾成了竹籃打水。微軟人發(fā)現(xiàn)自己身處的網(wǎng)絡環(huán)境已充滿威脅，與二十年前截然不同——勒索軟件、供應鏈攻擊、隱私漏洞、有國家背景的黑客、惡意程序、蠕蟲病毒以及充滿敵意的機器學習等等，無時無刻不再動搖著網(wǎng)絡安全的根基。

　　微軟出品的軟件遠未能達到蓋茨向往的安全標準。僅上個月，微軟公司就為其Windows操作系統(tǒng)及其他產(chǎn)品發(fā)布了近120個漏洞補丁，其中9個被標注為“重要”。最嚴重的一個漏洞被歸類為“可像蠕蟲般自我復制”，攻擊者抓住它，就可以在不做任何干預的情況下啟動連鎖反應，把惡意程序從一臺計算機傳播到其他有漏洞的計算機。

　　外界普遍認為，微軟是目前諸多網(wǎng)絡問題和網(wǎng)絡威脅的最根本原因——用戶往往會因為使用了微軟軟件而遭到攻擊，其中大部分用戶對微軟安全服務的體驗感非常糟糕。“他們只知道發(fā)布補丁，”前微軟技術(shù)顧問、安全技術(shù)公司Polyverse首席執(zhí)行官阿歷克謝？岡納雷斯（Alex Gounares）說。不過人們依然對微軟公司持有信心，認為該公司擁有應對網(wǎng)絡安全威脅的核心技術(shù)。公司上下也正為此而努力。

　　不過，微軟目前面臨的需求已不僅僅是編寫安全代碼了。鑒于日益嚴峻的網(wǎng)絡威脅，該公司已致力于構(gòu)建全面的網(wǎng)絡安全業(yè)務，承諾無論客戶使用的是哪家公司提供的軟件和服務，都會向其提供網(wǎng)絡安全軟件與服務。

　　目前，微軟公司的網(wǎng)絡安全業(yè)務已異軍突起。根據(jù)上周發(fā)布的財務報告，該公司的網(wǎng)絡安全產(chǎn)品在過去一年的營業(yè)收入比上一年度增加45%，創(chuàng)紀錄地超過150億美元，占同期公司總收入的8%，是市值最高的IT安全公司Palo Alto Networks年平均營收的三倍。

　　高調(diào)宣稱“為責任不為賺錢”，

　　未來將加大安全投入

　　既然網(wǎng)絡安全業(yè)務利潤如此之大，微軟還要不要繼續(xù)承擔產(chǎn)品售后服務，為不斷發(fā)現(xiàn)的漏洞提供補丁程度呢？換句話說，未來的微軟是更看重肩上的網(wǎng)絡安全責任，還是希望通過提供網(wǎng)絡安全服務賺更多錢呢？

　　德意志銀行分析師布萊德？澤爾尼克把這個問題拋給了微軟公司首席執(zhí)行官薩蒂亞？納德拉（Satya Nadella）。后者高調(diào)宣稱，微軟公司最基本的責任之一，就是在自己的產(chǎn)品中植入安全要素，而非利用日益猖獗的網(wǎng)絡威脅賺取更多利潤。“我們很看重這個責任，”他說。

　　但同時他還聲稱，微軟也不會放棄網(wǎng)絡安全業(yè)務這一利潤點。“我們認為這是一個機會，一個讓所有數(shù)字用戶得到安全保障的機會。”他解釋說，構(gòu)成這個世界的基礎(chǔ)設(shè)施并不只是微軟一家公司提供的，還有其他很多公司的各種平臺。“我們將向他們提供安全解決方案并收取費用，這才是我們的贏利點。”

　　微軟網(wǎng)絡安全團隊則表示，公司將在下一個五年期間加大對網(wǎng)絡安全業(yè)務的投入，推動相關(guān)技術(shù)、工具和團隊能力的提高。預計花費在客戶安全保護方面的資金將達到200億美元。

　　新高管新部門，

　　微軟為迎接新挑戰(zhàn)做好準備

　　不可否認，保護軟件和網(wǎng)絡安全已成為微軟及其他公司面臨的最具挑戰(zhàn)性的工作之一。為應對不可預知的未來，微軟已開始有所動作——首先對公司內(nèi)部的原有設(shè)置進行整合，成立新的安全、合規(guī)、身份與管理部門（Security, Compliance, Identity, and Management Organization）。預計該部門員工將達到1萬人，占微軟員工總?cè)藬?shù)（約20萬人）的5%，主要職責是安全產(chǎn)品和服務的研究與發(fā)布。需要指出的是，新部門將主要從戰(zhàn)略層面上對網(wǎng)絡與軟件安全工作做指導，具體產(chǎn)品的安全內(nèi)核仍由產(chǎn)品團隊內(nèi)設(shè)的安全小組負責。

　　領(lǐng)導安全、合規(guī)、身份與管理部門的高級管理人員也是一名剛剛從亞馬遜公司挖來的新人——查理？貝爾（Charlie Bell）。現(xiàn)年64歲的貝爾在亞馬遜公司工作超過23年，長期擔任該公司負責網(wǎng)絡服務的高級副總裁。2021年10月，轉(zhuǎn)任正職無望的貝爾接受了微軟的邀請，出任微軟公司高級副總裁，負責安全、合規(guī)、身份與管理部門的業(yè)務。

　　微軟新任高級副總裁查理？貝爾（圖片來源：微軟）

　　他的下屬包括首席信息安全官布萊特？阿森諾特（Bret Arsenault）、微軟身份認證部門副經(jīng)理喬伊？奇克（Joy Chik）、云安全部門副經(jīng)理巴拉特？沙（Bharat Shah）等高級管理人員及其團隊。此前，上述三人皆在負責云平臺與人工智能業(yè)務的高級副總裁斯科特？古瑟利（Scott Guthrie）領(lǐng)導下工作。

　　“接下來，公司以及公司所在的整個行業(yè)都將面對一個巨大的挑戰(zhàn)，即保證數(shù)字技術(shù)平臺、設(shè)備和云服務的安全。這是我們必須承擔的偉大任務，也是吸引查理來微軟的原因，”微軟CEO納德拉通過內(nèi)部郵件宣布查理？貝爾的任命時說。貝爾對此回應稱，自己之所以加入微軟，正是感受到了新挑戰(zhàn)的激勵。“我將迎接挑戰(zhàn)，努力把世界從‘野蠻的中世紀數(shù)字時代’帶到‘文明的數(shù)字時代’。”

　　亞馬遜公司的老同事評價貝爾是一個“務實的領(lǐng)導者”，會“為了解決問題或?qū)ふ医鉀Q問題的機會廢寢忘食”。微軟公司內(nèi)外的分析人士也認為貝爾是位“值得尊敬的領(lǐng)教者”，他的新眼光和新任命或許可以給公司以及整個網(wǎng)絡安全行業(yè)帶來前所未有的變化。

　　確定五大工作重點，

　　但仍存在需要解決的問題

　　在安全、合規(guī)、身份與管理部門之外，微軟公司還設(shè)立有“數(shù)字犯罪調(diào)查小組”（Digital Crimes Unit），專門追蹤并記錄僵尸網(wǎng)絡、勒索軟件及其他網(wǎng)絡犯罪活動，并致力于維護選舉的公平性。微軟公司在聲明中稱，之所以在內(nèi)部設(shè)立多個網(wǎng)絡與軟件安全維護部門，皆因自己正身處一場史無前例的非對稱戰(zhàn)爭之中——網(wǎng)絡敵人的攻擊過于強大，抵抗者被迫步步為營。

　　微軟公司提供的數(shù)據(jù)顯示，自2020年下半年SolarWinds公司遭到軟件供應鏈攻擊后，勒索軟件攻擊次數(shù)增加了150%，2021年釣魚軟件攻擊數(shù)量增加600%以上，密碼攻擊頻率增加到每秒鐘579次。“網(wǎng)絡攻擊形勢異常嚴峻和復雜，所以我們應該做點什么，”微軟公司高級副總裁瓦蘇？亞卡爾（Vasu Jakkal）說。

　　在此背景下，微軟為接下來的安全工作確定了五大重點：

　　1. 從設(shè)計開始就將軟件、云服務、計算機固件和硬件的安全因素納入考慮；

　　2. 全面應用“零信任”策略。基于“所有網(wǎng)絡活動均有漏洞”的假設(shè)，把訪問請求的數(shù)量限制到最小，同時對用戶身份進行絕對準確的驗證；

　　3. 為使用其他公司云服務、計算平臺和第三方應用軟件的用戶提供全方位保護；

　　4. 應用人工智能和自動化技術(shù)對網(wǎng)絡威脅進行分析和監(jiān)測；

　　5. 與其他網(wǎng)絡安全公司展開密切合作。

　　盡管微軟對本公司的安全業(yè)務充滿信心，但外界仍對其提出了疑問。首先是該公司角色的定位。微軟公司既是軟件的編寫者，又是安全產(chǎn)品和服務的提供者，在同行競爭者眼中扮演著“兩邊通吃”的角色。“（微軟）一只手發(fā)布帶有安全漏洞的軟件，另一只手又向用戶提供保護軟件免遭網(wǎng)絡威脅的安全服務。微軟集網(wǎng)絡安全救火隊員、監(jiān)測者以及漏洞軟件編寫者等角色于一身，很容易讓人懷疑賣了矛又賣盾，”國家網(wǎng)絡安全聯(lián)盟董事會成員萊恩？卡勒姆伯（Ryan Kalember）說。微軟公司也承認自己身份的特殊性，但具體如何解決卻又一時沒有合適的辦法。

　　其次是收費問題。盡管微軟CEO聲稱“責任第一，賺錢第二”，但該公司提供的先進安全解決方案價格之昂貴令人乍舌。“為取得微軟安全解決方案的使用執(zhí)照，公司用戶必須付出驚人的費用，”獨立分析師韋斯？米勒（Wes Miller）說。“很多用戶會因不愿意或沒有能力支付這筆費用而不得不遠離微軟方案。”他批評微軟公司“眼睛只盯著錢”，在應對勒索軟件等網(wǎng)絡威脅方面還做得遠遠不夠。前微軟公司高級網(wǎng)絡威脅情報分析師凱文？比奧蒙特（Kevin Beaumont）也認為，微軟安全解決方案的收費過高，致使一些小型公司被迫在網(wǎng)絡上“裸奔”。“事實上，我們不應該在網(wǎng)絡安全方面劃出一條貧富線來。”